Los cibercriminales están teniendo éxito en evadir la detección en ordenadores Windows abusando de herramientas de administración legítimas que se encuentran frecuentemente en ese sistema operativo.
Este es uno de los puntos fundamentales del Informe de Amenazas SophosLabs 2019, que explica cómo esta técnica pasó de ser poco utilizada a una de las más populares en el arsenal de los ciberdelincuentes.
Conocida en el argot de la ciberseguridad como “living off the Land” o “LoL”, ya que evita el tener que descargar otras herramientas, su objetivo favorito es PowerShell, un potente shell de línea de comandos que está incorporado por defecto en todos los ordenadores Windows recientes, aunque pocos lo hayan utilizado o lo conozcan.
Otras alternativas incluyen Windows Scripting Host (WScript.exe), Windows Management Instrumentation Command (WMIC), así como diversas herramientas populares externas como PsExec y WinSCP.
Es una estrategia simple que complica mucho su detección. Eliminar las herramientas es una opción pero pocos administradores estarían contentos con esto, tal y como se indica en el informe:
PoweShell también es un componente integral de las herramientas que ayudan a los administradores a gestionar redes de todos los tamaños, y por lo tanto debe estar presente y activado para que los administradores puedan realizar acciones como, por ejemplo, implementar cambios en las directivas de grupos.
Los atacantes, por supuesto, lo saben y a menudo tejen una osada red de scripts e interfaces de comando, cada uno ejecutado en un proceso distinto de Windows.
Según SophosLabs, los atacantes pueden comenzar como un JavaScript adjunto malicioso, que ejecute wscript.exe, antes de descargar finalmente un script a medida de PowerShell. La defensa se encuentra ante un reto:
Con un rango amplio de tipos de ficheros que incluyen varios scripts en texto simple, encadenados sin un orden en particular y sin ningún tipo de previsibilidad, el reto consiste en como separar las operaciones normales de un ordenador del comportamiento anómalo anterior a una infección de malware.
Ataques macro 2.0
Mientras tanto, los atacantes no muestran signos de dejar de probar nuevas variantes de ataques macro para Microsoft Office, otra forma de amenaza que no necesita descargar nada.
En los últimos años, protecciones como desactivar marcos en documentos o usar el modo de vista previa, habían mermado esta técnica.
Desafortunadamente, los atacantes han desarrollado nuevas formas para persuadir a la gente de deshabilitar estas usando las herramientas de creación de macros que se encuentran en Office, Flash y otros exploits empleando documentos que utilizan sofisticadas técnicas de ingeniería social.
Para empeorar las cosas, los cibercriminales han actualizado su obsoleta base de vulnerabilidades con nuevas más peligrosas. Los análisis de SophosLabs muestran que solo el 3% de los documentos maliciosos detectados incluyen exploits anteriores a 2017.
Al estar los tipos de ficheros habituales bien monitoreados por las herramientas de seguridad, la tendencia es usar tipos de ficheros más exóticos para realizar ataques, especialmente los que parecen inocuos como el del shell de Windows .cmd (archivo de comando), .cpl (panel de control), .HTA (Windows Script Host), .LNK (Atajo de Windows) y .PIF (fichero de información del programa).
Movimiento lateral
El exploit EternalBlue (CVE–2017-0144) sorprendentemente se ha convertido en una popular base para los creadores de malware, pese a que Microsoft publicó un parche antes de su primer uso con WannaCry en mayo de 2017.
Los criptomineros son unos usuarios entusiastas de EternalBlue, utilizándolo para moverse lateralmente entre redes para infectar al mayor número posible de máquinas.
Los atacantes que combinan estas innovaciones (herramientas LoL de Windows, ataques macro, nuevos exploits y criptominería) representan un reto porque a menudo confunden las suposiciones de los defensores.
Irónicamente estos enfoques más complejos se deben al éxito de la industria de la ciberseguridad en detectar el malware tradicional. Joe Levy, CTO de Sophos, concluye:
Esperamos que al final queden menos adversarios pero más fuertes.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario